Dell Encryption FIPS 合规性

可以修改注册表项以选择特定的 cryptoprovider 和密码学方法，用于修改 Dell Encryption 代理使用的加密库：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE
DWORD: CssStartFlags

Various "Flags" can be set, with the options being:

0x80000000 BSAFE
0x80000010 BSAFE with reduced key security for higher performance
0x40000000 BCrypt
0x40000010 BCrypt with reduced key security for higher performance
0x20000000 CmgCrypt Non-Fips
0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance
0x20000002 CmgCrypt FIPS

Dell Encryption 的日志文件会在CMGshield.log文件中生成行，以指示加密提供程序的运行模式（默认位置为 C：\ProgramData\Dell\Dell Data Protection\Encryption\）。

指示正在加载的提供程序的行由下式表示：

CffeEncrypterStartup -- Configuring RSA BSAFE Encryption
CffeEncrypterStartup -- Configuring MS BCRYPT Encryption
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x

除了这一行之外，还会写入另一行，概述注册表中使用的值：

CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>

如果 Intel IPP 标记已禁用或不存在，Dell Encryption 将通过调用戴尔经 FIPS 验证的加密库（在 FIPS 模式下运行）来执行加密操作。

启用英特尔 IPP 标记后，将对戴尔经过 FIPS 验证的库进行相同的加密函数调用，但该过程以非 FIPS 模式在应用程序中运行，并且加密操作使用英特尔 IPP 库来提高性能。

若要选择操作模式，请修改（或创建）注册表项：

HKLM\System\CurrentControlSet\Services\CmgShieldFFE
DWORD: UseIPPFlags
Value: 0 or 2 (decimal)

0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode
2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.

管理员可以在设置此注册表后，使用CMGShield.log文件验证该设置：

"CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode
"CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.

Dell Encryption 的传统加密提供商 Credant’s CMGCrypto 不再由 NIST 验证，但以前的认证编号为：2156 和 2150

可以修改注册表项以选择特定的 cryptoprovider 和密码学方法，用于修改 Dell Encryption 代理使用的加密库：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE
DWORD: Enable_Provider

Various providers can be set, with the options being:

0x00000001 Software-based AES
0x00000002 Processor-driven AES-NI
0x00000004 Microsoft BCrypt
0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance)
0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance)
0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)

Dell Encryption 的日志文件会在DellCommon.log文件中生成行，指示加密提供程序的运行模式（默认位置为 C：\ProgramData\Dell\Dell Data Protection\）。

指示正在加载的提供程序的行由下式表示：

FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider

FIPS 模式使用 Microsoft 的 FIPS 库进行管理，参考编号为 BCrypt。这些选项可以使用组策略对象为远程管理的计算机启用，这可以通过安装了远程系统管理工具包的计算机上的组策略管理控制台完成（位于：https://support.microsoft.com/en-us/help/2693643）

可在此处找到有关 Microsoft 实施 FIPS 验证库的信息： https://technet.microsoft.com/en-us/library/cc750357.aspx

要查看 Dell Encryption 的 Full Disk Encryption 所利用的 Microsoft 加密库的 FIPS 认证，请参阅 NIST.gov 链接：

• 加密原语的 2 级证书： https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3094
• 内核加密功能的 2 级证书： https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3095

使用 Active Directory 的远程管理设备

要使用组策略管理控制台 （gpmc.msc） 启用，请执行以下操作：

选择需要进行此更改的组织单位。

图 1：（仅限英文）组策略管理

1. 命名新的组策略对象。

图 2：（仅限英文）命名组策略对象

2. 右键单击新的组策略对象，然后选择 编辑。

图 3：（仅限英文）编辑组策略对象

3. 右键单击策略，然后选择要修改 的属性 。

图 4：（仅英文）选择“Properties”

4. 启用“ 定义此策略设置 ”选项，然后选择 “已启用 ”单向按钮。

图 5：（仅限英文）启用“定义此策略设置”

5. 单击应用。
6. 关闭组策略管理编辑器。

将设备添加到组织组或任何子组（不包括已 阻止继承 的组）后，此新组策略对象将应用于这些设备的计算机组策略更新。此更新的默认设置是每 2 小时或在计算机重新启动时进行。

应用此策略后，一旦戴尔基于软件的全磁盘加密设置为加密，就会利用 Microsoft 的 FIPS 兼容算法对设备进行加密。

本地管理的设备

还可以通过本地组策略编辑器 （gpedit.msc） 或本地安全策略编辑器 （secpol.msc） 在本地启用这些选项。

在本地组策略编辑器中

有问题的策略位于计算机配置>Windows 设置>安全设置>本地策略安全选项中>。标题是 System cryptography：使用符合 FIPS 的算法进行加密、哈希和签名。

1. 右键单击策略，然后选择要修改 的属性 。

图 6：（仅限英文）策略的属性

2. 启用“ 定义此策略设置 ”选项，然后选择 “已启用 ”单向按钮。

图 7：（仅限英文）启用“定义此策略设置”

3. 单击应用。
4. 关闭组策略管理编辑器。

随着这些设备的计算机策略更新，此新策略将应用于这些设备。此更新的默认设置是每 2 小时或在计算机重新启动时进行。

应用此策略后，一旦戴尔基于软件的全磁盘加密设置为加密，就会利用 Microsoft 的 FIPS 兼容算法对设备进行加密。

在本地安全策略编辑器中

相关策略位于 Security SettingsLocal>PoliciesSecurity>Options中。标题是 System cryptography：使用符合 FIPS 的算法进行加密、哈希和签名。

1. 右键单击策略，然后选择要修改 的属性 。

图 8：（仅限英文）策略的属性

2. 启用“ 定义此策略设置 ”选项，然后选择 “已启用 ”单向按钮。

图 9：（仅限英文）启用“定义此策略设置”

3. 单击应用。
4. 关闭组策略管理编辑器。

随着这些设备的计算机策略更新，此新策略将应用于这些设备。此更新的默认设置是每 2 小时或在计算机重新启动时进行。

应用此策略后，一旦戴尔基于软件的全磁盘加密设置为加密，就会利用 Microsoft 的 FIPS 兼容算法对设备进行加密。

使用注册表项启用

也可以使用注册表启用 Microsoft 的符合 FIPS 的算法。若要启用符合 FIPS 的库，可以修改注册表项：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
DWORD: Enabled
Value: 1

重新启动后，此策略将生效。应用此策略后，一旦戴尔基于软件的全磁盘加密设置为加密，就会利用 Microsoft 的 FIPS 兼容算法对设备进行加密。